ما هي اللجنة الدولية لشؤون المفقودين؟ فهم بروتوكول رسائل التحكم في الإنترنت

ربما تكون قد سمعت عن ICMP وإذا كنت مجرد خبير تقني ، فربما تعرف (على الأقل) أن لها علاقة بالإنترنت.

ICMP هو في الواقع بروتوكول ، يشبه إلى حد كبير IP و TCP و UDP (الذي ناقشناه وشرحناه سابقًا) ، لذلك فهو يلعب دورًا مهمًا جدًا في حسن سير اتصالات الإنترنت الخاصة بنا.

تتعلق ICMP بشكل أكبر بالطريقة التي يتم بها اكتشاف مشكلات الاتصال والتعامل معها ، ولكن دعونا لا نفسد الكثير من محاضرتنا. استمر في القراءة إذا كنت تريد معرفة ما هي ICMP وكيف تساعدنا في الحفاظ على اتصالاتنا تعمل عند المستويات المثلى.

ما هي اللجنة الدولية لشؤون المفقودين؟

بروتوكول رسائل التحكم في الإنترنت ، والذي يعرفه معظم الناس بالاختصار الودي ICMP ، هو بروتوكول أساسي لاستكشاف المشكلات المختلفة المتعلقة بالاتصال وإصلاحها.

يتم استخدام هذا البروتوكول بواسطة مجموعة متنوعة من أجهزة الشبكة ، بما في ذلك على سبيل المثال لا الحصر أجهزة التوجيه وأجهزة المودم والخوادم لإبلاغ المشاركين الآخرين في الشبكة حول مشكلات الاتصال المحتملة.

لقد ذكرنا أعلاه أن ICMP هو بروتوكول تمامًا مثل TCP و UDP ، ولكن بخلاف هذين الاثنين ، لا يتم استخدام ICMP بشكل عام لتسهيل تبادل البيانات بين الأنظمة. علاوة على ذلك ، لا يتم استخدامه بشكل متكرر في تطبيقات شبكة المستخدم النهائي ، ما لم تكن أدوات تشخيصية.

تم رسم التعريف الأصلي للجنة الدولية لشؤون المفقودين من قبل جون بوستل ، الذي ساهم بشكل كبير ومرات عديدة في تطوير الإنترنت ، وتم نشر المعيار الأول للجنة الدولية لشؤون المفقودين في أبريل 1981 في RFC 777 .

من الواضح أن التعريف الأولي مر بالعديد من التغييرات للوصول إلى الشكل الذي نعرفه اليوم. تم نشر الشكل المستقر لهذا البروتوكول بعد 5 أشهر من تعريفه الأولي ، في سبتمبر 1981 ، في RFC 792 ، كما كتبه Postel.

كيف تعمل ICMP؟

لوضعها بإيجاز ، يتم استخدام ICMP للإبلاغ عن الأخطاء من خلال تحديد ما إذا كانت البيانات تصل إلى وجهتها المقصودة بسرعة نسبيًا أم لا.

في السيناريو الأساسي ، يتم توصيل جهازين عبر الإنترنت وتبادل المعلومات من خلال ما نسميه حزم البيانات أو مخططات البيانات. ما تفعله ICMP هو إنشاء أخطاء ومشاركتها مع الجهاز الذي أرسل البيانات الأصلية في حالة عدم وصول الحزم إلى وجهتها مطلقًا.

على سبيل المثال ، إذا قمت بإرسال حزمة بيانات كبيرة جدًا بحيث يتعذر على جهاز التوجيه معالجتها ، فسيقوم جهاز التوجيه أولاً بإسقاط الحزمة ثم يقوم بإنشاء رسالة خطأ تسمح لجهاز المرسل بأن الحزمة الخاصة به لم تصل أبدًا إلى الوجهة التي كان يتجه إليها.

ومع ذلك ، هذا ما نسميه مهارة سلبية لأنه لا يوجد ما عليك فعله لتلقي رسائل الخطأ هذه (إذا دعت الحاجة). كما ستكتشف قريبًا ، فإن ICMP لديها أيضًا أداة مساعدة أكثر نشاطًا ، والتي يمكنك الاعتماد عليها لإجراء العديد من عمليات استكشاف أخطاء الشبكة وإصلاحها.

على عكس TCP و UDP ، لا يحتاج ICMP إلى توصيل جهاز لإرسال رسالة. في اتصال TCP ، على سبيل المثال ، تحتاج الأجهزة المتصلة إلى إجراء مصافحة متعددة الخطوات ، وبعد ذلك يمكن نقل البيانات.

مع ICMP ، ليست هناك حاجة لإنشاء اتصال ؛ يمكن إرسال رسالة ببساطة بدلاً من الاتصال. علاوة على ذلك ، لا تتطلب رسالة ICMP منفذًا لتوجيه الرسالة ، مقارنةً بـ TCP و UDP ، حيث يستخدم كلاهما منافذ محددة لتوجيه المعلومات من خلالها. لا تتطلب ICMP منفذًا فحسب ، ولكنها في الواقع لا تسمح باستهداف منافذ معينة.

يتم نقل رسائل ICMP بواسطة حزم IP ولكنها لا تحتوي عليها. بدلاً من ذلك ، فهم يستخدمون هذه الحزم ، حيث يتم إنشاؤها فقط إذا لم يصل الناقل (أي حزم IP) إلى وجهتهم مطلقًا. في أغلب الأحيان ، تنتج الظروف التي سمحت لحزمة ICMP بالانتشار من البيانات المتاحة في عنوان IP للحزمة الفاشلة.

نظرًا لأن ICMP تتضمن بيانات عنوان IP للحزمة الفاشلة ، يمكن استخدام أدوات تحليل الشبكة لتحديد حزم IP التي فشل تسليمها بالضبط. ومع ذلك ، فإن عنوان IP ليس هو النوع الوحيد من المعلومات الذي تحمله حزمة ICMP.

تحتوي حزمة ICMP على رأس IP ، متبوعًا برأس ICMP ، وأول ثمانية بايتات للحمولة.

• رأس IP - يحتوي على تفاصيل حول إصدار IP ، وعناوين IP المصدر والوجهة ، وعدد الحزم المرسلة ، والبروتوكول المستخدم ، وطول الحزمة ، ووقت العيش (TTL) ، وبيانات المزامنة ، بالإضافة إلى أرقام المعرفات لحزم بيانات معينة
• رأس ICMP - يحتوي على رمز يساعد في تصنيف الخطأ ، ورمز فرعي يسهل تحديد الخطأ من خلال تقديم وصف ومجموع اختباري
• رأس طبقة النقل - أول ثمانية بايتات من الحمولة (يتم نقلها عبر TCP أو UDP)

رسائل تحكم ICMP

كما ذكرنا أعلاه ، عند حدوث خطأ ، يمكن استخدام القيم الموجودة في الحقل الأول من رأس ICMP لتعريفه. أنواع الأخطاء هذه مع المعرف الخاص بها كما يلي:

• 0 - رد الصدى - يُستخدم لأغراض اختبار الاتصال
• 3 - وجهة لا يمكن الوصول إليها
• 5 - رسالة إعادة التوجيه - تُستخدم للإشارة إلى اختيار مسار مختلف
• 8 - طلب الصدى - يستخدم لأغراض ping
• 9 - إعلان جهاز التوجيه - تستخدمه أجهزة التوجيه للإعلان عن عناوين IP الخاصة بها متاحة للتوجيه
• 10 - طلب جهاز التوجيه - اكتشاف جهاز التوجيه أو التماسه أو اختياره
• 11 - تجاوز الوقت - انتهت مدة TTL أو تجاوز وقت إعادة التجميع
• 12 - مشكلة في المعلمة: عنوان IP غير صالح - طول غير صالح ، أو خيار مطلوب مفقود ، أو خطأ يشير إلى المؤشر
• 13 - الطابع الزمني
• 14 - رد الطابع الزمني
• 41 - يستخدم لبروتوكولات التنقل التجريبية
• 42 - طلب صدى ممتد - يطلب تمديد صدى
• 43 - رد الصدى الممتد - الردود على 42 طلب صدى موسع
• 253 و 254 - تجريبي

حقل TTL (مدة البقاء)

يعد حقل TTL أحد حقول رأس IP التي يمكنها (وغالبًا ما تفعل ذلك) إنشاء خطأ ICMP. يحتوي على قيمة ، وهي الحد الأقصى لعدد أجهزة التوجيه التي يمكن للحزمة المرسلة أن تمر من خلالها قبل أن تصل إلى وجهتها النهائية.

بعد معالجة الحزمة بواسطة جهاز توجيه ، تنخفض هذه القيمة بمقدار واحد ، وتستمر العملية حتى يحدث أحد أمرين: إما أن تصل الحزمة إلى وجهتها ، أو تصل القيمة إلى الصفر ، والتي عادة ما يتبعها جهاز التوجيه بإسقاط القيمة حزمة وإرسال رسالة ICMP إلى المرسل الأصلي.

لذلك ، من نافلة القول أنه إذا تم إسقاط حزمة لأن TTL الخاص بها وصل إلى الصفر ، فهذا ليس بسبب البيانات التالفة في الرأس أو المشكلات الخاصة بالموجه. تم تصميم TTL في الواقع لمنع الحزم المارقة من إعاقة الاتصالات وأدى إلى إنشاء أداة ذات أهمية قصوى لاستكشاف أخطاء الشبكة وإصلاحها: Traceroute.

استخدام ICMP في تشخيصات الشبكة

كما ذكر أعلاه ، يمكن استخدام ICMP مع أدوات التشخيص لتحديد الأداء الجيد لاتصال الشبكة. ربما لم تكن تعرف ما هي ICMP قبل أن تقرأ دليلنا ، لكننا على يقين من أنك سمعت على الأقل عن ping ، أداة الشبكة الشهيرة التي تتيح لك معرفة ما إذا كان المضيف يمكن الوصول إليه أم لا.

حسنًا ، يعد ping في الواقع أحد الأدوات المهمة التي تستخدم ICMP كعمود فقري لها. يعد Traceroute مثالاً جيدًا آخر على الأدوات التي تساعدنا في تشخيص مشكلات الاتصال وإصلاحها على شبكاتنا. يعد Pathping ، وهو مزيج من ping و traceroute ، أداة أخرى رائعة تعتمد على ICMP.

بينغ

Ping هي أداة مضمنة في Windows يمكن الوصول إليها من خلال CMD وهي واحدة من أهم الأدوات التي تستخدم ICMP لاستكشاف أخطاء الشبكة المحتملة وإصلاحها. يستخدم Ping اثنين من الرموز الموجودة في القائمة أعلاه ، 8 (طلب الصدى) و 0 (رد الصدى) ، ليكون أكثر تحديدًا.

إليك كيف يبدو مثالان لأمر ping :

ping 168.10.26.7
ping TipsWebTech360.com

عند تشغيله ، سيرسل ping حزمة ICMP برمز 8 في حقل النوع الخاص به ، وسوف ينتظر بصبر الرد من النوع 0. بعد وصول الرد ، سيحدد الأمر ping الوقت بين الطلب (8) والرد عليه (0) وسيعيد قيمة رحلة الذهاب والعودة معبرًا عنها بالمللي ثانية.

لقد أثبتنا بالفعل أن حزم ICMP عادةً ما يتم إنشاؤها وإرسالها كنتيجة لخطأ. ومع ذلك ، لا تحتاج حزمة الطلب (النوع 8) إلى خطأ ليتم إرسالها ، وبالتالي يمكن أن يتلقى ping أيضًا الرد (0) بدون التسبب في حدوث خطأ.

كما اكتشفت من الأمثلة أعلاه ، يمكنك اختبار اتصال عنوان IP أو مضيف. علاوة على ذلك ، يحتوي ping على عدد كبير من الخيارات الإضافية التي يمكنك استخدامها لاستكشاف الأخطاء وإصلاحها الأكثر تقدمًا عن طريق إلحاق الخيار بالأمر.

على سبيل المثال ، سيؤدي استخ��ام الخيار -4 إلى إجبار ping على استخدام IPv4 حصريًا ، بينما -6 سيستخدم عناوين IPv6 فقط . تحقق من لقطة الشاشة أدناه للحصول على قائمة كاملة بالخيارات التي يمكنك إلحاقها بأمر ping .

من المفاهيم الخاطئة الشائعة حول ping أنه يمكنك استخدامه لاختبار توفر منافذ معينة على الأنظمة المستهدفة. باختصار ، لا يمكنك فعل ذلك ، لأن ICMP لا يقوم بأي تبادل حقيقي للرسائل بين المضيفين ، على عكس TCP أو UDP ، ولا يتطلب استخدام المنفذ.

تستخدم تطبيقات ماسح المنافذ حزم TCP أو UDP لتحديد ما إذا كانت منافذ معينة مفتوحة ويمكن الوصول إليها أم لا. ترسل الأدوات حزم TCP أو UDP إلى منفذ معين وتقوم بإنشاء رسالة ICMP من النوع 3 (مضيف لا يمكن الوصول إليه) من النوع الفرعي 3 (منفذ الوجهة لا يمكن الوصول إليه) إذا كان هذا المنفذ غير نشط.

تريسروت

مثل ping ، يعد traceroute أداة أخرى لتحرّي الخلل وإصلاحه في الشبكة لا يجب أن يكون لدى كل مسؤول شبكة فقط في حزام الأدوات الخاص به ولكن أيضًا إتقانه. ما يفعله traceroute هو مساعدتك في تعيين مسار لجميع الأجهزة التي يمر بها اتصالك حتى يصل إلى وجهته المحددة.

لذلك إذا كنت مهتمًا بالعثور على المسار الكامل بينك وبين جهاز آخر ، فيمكن أن يوفر لك traceroute هذه المعلومات بالضبط. يمكن أيضًا استخدام هذه الأداة لتحديد ما إذا كان هناك خطأ ما على طول المسار الذي يتبعه اتصالك أم لا.

إذا كان هناك ، على سبيل المثال ، جهاز على مسار الاتصال يواجه صعوبة في إعادة توجيه الحزم الخاصة بك إلى وجهتها المقصودة ، فسوف يُعلمك traceroute بجهاز التوجيه الذي يمنحك استجابة متأخرة (أو لا شيء على الإطلاق).

الطريقة التي يعمل بها traceroute هي إرسال حزمة بقيمة TTL ( Time To Live ) بقيمة 0 ، والتي سيتم إسقاطها تلقائيًا بواسطة جهاز التوجيه الأول الذي يواجهه ، كما أوضحنا أعلاه في قسم TTL. بعد إسقاط الحزمة ، ينشئ جهاز التوجيه حزمة ICMP ويرسلها مرة أخرى إلى مسار التتبع.

يستخرج البرنامج عنوان مصدر الحزمة ، بالإضافة إلى الوقت الذي استغرقته الحزمة للعودة ، ثم يرسل حزمة أخرى بقيمة TTL 1 . بعد أن تمر الحزمة الثانية عبر البوابة ، ينخفض ​​TTL الخاص بها بمقدار 1 (تصبح 0 ) ويتجه إلى الموجه الثاني ، والذي ، عند اكتشاف قيمة TTL الصفرية ، يسقط الحزمة ويرسل حزمة ICMP مرة أخرى إلى traceroute.

في كل مرة يتلقى فيها traceroute حزمة ICMP ، فإنه يزيد من مدة البقاء (TTL) بمقدار واحد ويرسلها مرة أخرى إلى مسارها ، وتستمر هذه العملية وتستمر حتى الوصول إلى الوجهة المحددة ، أو ينفد مسار التتبع من القفزات. بشكل افتراضي ، يخصص Windows حدًا أقصى قدره 30 قفزة ، ولكن يمكنك زيادته عن طريق تحديده في بناء جملة الأوامر.

فيما يلي مثال على كيفية تشغيل traceroute في CMD:

tracert TipsWebTech360.com

يشبه إلى حد كبير ping ، يحتوي traceroute على سلسلة من الخيارات التي يمكنك إلحاقها بالصيغة إذا كنت تريد أن تكون أكثر تحديدًا. يمكنك فرض IPv4 أو IPv6 ، ولكن يمكنك أيضًا تخطي حل العناوين لأسماء المضيف وزيادة الحد الأقصى لعدد القفزات للبحث عن الهدف. تحقق من لقطة الشاشة أدناه للحصول على مثال لاستخدام مسار التتبع وقائمة بجميع الخيارات التي يمكنك استخدامها معها.

ومع ذلك ، تجدر الإشارة إلى أن traceroute يمكنه فقط تزويدك بالمعلومات في الوقت الفعلي. لذلك ، إذا واجهت تباطؤًا في اتصالك وأردت استخدام هذه الأداة للتحقيق فيه ، فقد تتلقى نتائج مضللة لأن المسار ربما تغير في هذه الأثناء.

في حين أنه من الممكن إجبار traceroute على اتباع مسار معين باستخدام الخيار -j وإضافة عناوين جهاز التوجيه يدويًا ، فإن القيام بذلك يعني أنك على دراية بالفعل بالمسار الخاطئ. هذا متناقض إلى حد ما ، لأن اكتشاف المسار في المقام الأول يتطلب منك استخدام traceroute بدون الخيار -j .

إذا لم تكن من المعجبين تمامًا باستخدام أدوات CLI (واجهة سطر الأوامر) وكنت تفضل أسلوب واجهة المستخدم الرسومية ( GUI ) ، فهناك العديد من حلول برامج الجهات الخارجية لـ traceroute. يعد Traceroute NG من SolarWinds  أحد أفضل الأمثلة التي يمكن أن نفكر فيها. هل ذكرنا أنه مجاني تمامًا ؟

باثبينج

كما ذكرنا بإيجاز أعلاه ، فإن pathping يكمل ثلاثية أدوات استكشاف أخطاء الشبكة التي لا غنى عنها. من وجهة نظر الوظائف ، يعد patphing مزيجًا من ping و traceroute ، لأنه يستخدم جميع أنواع الرسائل الثلاثة التي يستغلها الثنائي المذكور أعلاه: طلب الصدى (8) ، ورد الصدى (0) ، وكذلك تجاوز الوقت (11).

في أغلب الأحيان ، يتم استخدام pathping لتحديد عُقد الاتصال التي تتأثر بزمن انتقال عالٍ وفقدان الحزمة. بالتأكيد يمكنك استخدام traceroute ثم ping للحصول على هذه التفاصيل ، ولكن الحصول على وظائف كلتا الأداتين تحت أمر واحد يكون أكثر ملاءمة لمسؤولي الشبكة.

تتمثل إحدى سلبيات استخدام pathping في أنه قد يستغرق وقتًا طويلاً لإنهاء الاستفسار (25 ثانية لكل قفزة للحصول على إحصائيات ping). سيُظهر لك Pathping كلاً من المسار إلى الوجهة المحددة وأوقات الرحلة ذهابًا وإيابًا إليها.

على عكس ping و traceroute ، فإن pathping سوف يقوم باختبار اتصال كل جهاز توجيه في مساره بشكل متكرر ، مما يزيد من فعاليته الإجمالية. ومع ذلك ، إذا واجه جهاز توجيه قام بتعطيل وظائف ICMP ، فسوف يوقف pathping طلبه للحصول على معلومات ، بينما لا يزال بإمكان ping الوصول إلى جهاز توجيه بدون ميزات ICMP ، وسوف يقفز traceroute إلى جهاز التوجيه التالي في مساره ويعرض سلسلة من العلامات النجمية لأي أجهزة توجيه بخلاف ICMP.

Pathping هي أداة مضمنة في Windows وظلت هكذا منذ Windows NT ، لذا يمكنك استخدامها كما تفعل ping أو tracert: من خلال سطر أوامر.

فيما يلي مثال لكيفية استخدام pathping:

pathping TipsWebTech360.com -h 40 -w 2 -4

سيوضح لك الأمر أعلاه الطريق إلى موقعنا على الويب ، بالإضافة إلى أوقات الرحلة ذهابًا وإيابًا لكل جهاز توجيه في مسار الاتصال. بالإضافة إلى ذلك ، ستؤدي الخيارات التي استخدمناها في مثالنا إلى زيادة الحد الأقصى لقيمة القفزات الافتراضية من 30 إلى 40 ، وإضافة قيمة مهلة قدرها 2 مللي ثانية لكل رد وإجبار IPv4.

تحقق من لقطة الشاشة أدناه للحصول على دليل سريع لاستخدام pathping وقائمة بالخيارات التي يمكنك إضافتها إلى صيغة الأمر.

قابلية تطبيق ICMP في الهجمات الإلكترونية

على الرغم من أن نطاق ICMP يسهل الكثير من عمليات استكشاف أخطاء الاتصال وإصلاحها ، يمكن أيضًا استغلال هذا البروتوكول لأداء العديد من الهجمات الإلكترونية. إذا كنت قد أمضيت وقتًا طويلاً على الإنترنت ، فمن المحتمل أنك سمعت عن أنفاق ping fling أو DDoS أو Ping of Death أو Smurf Attacks أو ICMP.

في حين أن بعض هذه الهجمات في الوقت الحاضر تعمل كدليل على المفهوم ( PoC ) ، إلا أن البعض الآخر لا يزال يستخدم من قبل الوكلاء الضارين لإلحاق الضرر بالأنظمة التي تدعم الإنترنت أو بواسطة خبراء الأمن لاختبار الثغرات الأمنية.

سنبدأ بالأكثر شيوعًا ، وهو فيضان ping (لا يزال مستخدمًا على نطاق واسع ، بالمناسبة) ، ونوضح كيف يستخدم ICMP للشر.

فيضان بينغ

يبدو أن استخدام ping لإرسال طلبات صدى وانتظار ردود الصدى غير ضار تمامًا. ولكن ماذا لو ، بدلاً من انتظار الرد ، أرسل الأمر ping قدرًا كبيرًا من طلبات ارتداد ICMP؟ في هذا السيناريو الكلاسيكي للهجوم DoS (رفض الخدمة) ، قد يعاني الجهاز المستهدف من تأخر شديد ، وحتى انقطاع الاتصال إذا نجح الهجوم.

يكون هذا الهجوم أكثر فاعلية إذا كان لدى المهاجم نطاق ترددي أكبر من الضحية ، وإذا أرسل الضحية ردود صدى ICMP على العديد من الطلبات التي يتلقاها ، وبالتالي يستهلك النطاق الترددي الوارد والصادر.

يمكن للمهاجم تحديد خيار "إغراق" لأمر ping ، ولكن هذا الخيار نادر جدًا وغير مضمن في الأدوات المضمنة في أنظمة التشغيل. على سبيل المثال ، لا تحتوي أداة ping في Windows على خيار "إغراق" ، ولكن هناك بعض أدوات الجهات الخارجية التي تدمج هذه الميزة.

يمكن أن يصبح هجوم ping فيضان كارثيًا حقًا إذا تحول إلى هجوم DDoS (رفض الخدمة الموزع) . يستخدم هجوم DDoS أنظمة متعددة لاستهداف واحد ، وبالتالي تغمره بحزم من عدة مواقع في وقت واحد.

تتمثل إحدى الطرق المؤكدة لحماية نفسك من فيضان ping في تعطيل وظائف ICMP على جهاز التوجيه الخاص بك. يمكنك أيضًا تثبيت جدار حماية لتطبيق الويب إذا كنت بحاجة إلى حماية خادم ويب من مثل هذه الهجمات.

بينغ الموت

يتضمن هذا الهجوم إرسال أمر ping تالف إلى جهاز كمبيوتر مستهدف. في هذا النوع من الهجوم ، ستحتوي الحزمة المرسلة على كمية من الحشو في الحمولة كبيرة جدًا بحيث لا يمكن معالجتها كلها مرة واحدة.

ومع ذلك ، قبل إرسالها ، سيتم تجزئة هذا الأمر ping الضار إلى أجزاء أصغر ، حيث سيكون إرساله في شكله الأصلي المجمع أمرًا مستحيلًا على معالج بروتوكول الإنترنت .

سيتلقى الكمبيوتر الذي يستهدفه Ping of Death الأجزاء ويحاول إعادة تجميعها قبل إرسال الحزمة الخبيثة إلى التطبيق الوجهة الخاص بها. إليك مكان حدوث الضرر: إذا كانت الحزمة المُجمَّعة أطول من الذاكرة المتاحة في الكمبيوتر الهدف ، فقد يؤدي إعادة تجميعها إلى تجاوز سعة المخزن المؤقت ، وتعطل النظام ، وقد تسمح أيضًا بحقن تعليمات برمجية ضارة في الجهاز المصاب.

على الجانب المشرق ، لم يعد Ping of Death أمرًا جديدًا ، حيث تتعرف عليه العديد من أنظمة الأمان دون عوائق وتمنعه ​​بنجاح.

هجوم سنفور

على عكس نوعي الهجوم السابقين ، لا يهاجم هجوم Smurf جهازًا بشكل مباشر ولكنه يستخدم أجهزة أخرى على نفس الشبكة لتنسيق هجوم DoS الموزع ( DDoS ) تجاه جهاز واحد.

يحتاج المهاجم إلى عنوان IP للهدف وعنوان بث IP للشبكة المستهدفة. يضيف المهاجم عنوان IP الخاص بالضحية إلى حزم ICMP (ينتحلها) ثم يبثها إلى شبكة الهدف باستخدام عنوان بث IP .

استجابةً لذلك ، سترسل معظم الأجهزة المتصلة بالشبكة نفسها ردًا على عنوان IP المصدر (يتم استبداله ليعكس جهاز الهدف) ، والذي يمكن أن يكتظ بحركة المرور إذا كانت الشبكة كبيرة بما يكفي (بها عدد كبير من الأجهزة المتصلة).

نتيجة لذلك ، يمكن إبطاء جهاز الكمبيوتر الهدف وحتى جعله غير صالح للاستخدام لفترة زمنية معينة ، إذا كان الهجوم شديدًا بدرجة كافية.

كما في السابق ، يمكنك تجنب هجوم Smurf ببساطة عن طريق إيقاف تشغيل إمكانات ICMP لجهاز التوجيه الخاص بالبوابة. هناك طريقة أخرى يمكنك من خلالها تحقيق الحماية وهي إدراج الطلبات الواردة من عنوان IP الخاص ببث شبكتك في القائمة السوداء.

هجوم الوخز

يقود هجوم Twinge برنامج يرسل طوفانًا من حزم ICMP المخادعة لإلحاق الضرر بالنظام. حزم ICMP مزيفة لأنها تستخدم جميعًا عناوين IP وهمية عشوائية ، ولكن في الواقع ، تأتي الحزم من مصدر واحد (جهاز المهاجم).

وبحسب ما ورد ، تحتوي حزم ICMP على توقيع يمكن أن يكشف حقيقة أن الهجوم لم يأت من مصادر متعددة ، ولكن تم تنسيقه بمساعدة Twinge بدلاً من ذلك.

Although this attack can be disastrous if planned right, turning off ICMP on your gateway router and installing a firewall or an intrusion detection system can help you protect yourself against it.

ICMP tunnel

By default, routers only scan for ICMP packet’s headers, making it possible that packets that actually contain a lot of additional data can easily bypass detection just as long as they contain an ICMP section. This type of attack is called a ping or ICMP tunnel. Fortunately, standard ping utilities aren’t capable of tunneling through firewalls and gateways, as ICMP tunnels need to be carefully adapted to the networks they’re intended to.

On the other hand, there are numerous online resources that attackers can use and emulate such a tunnel, granting themselves free passage through private networks and machines connected to it. As before, turning off ICMP capabilities on your gateway router, using firewalls, and enforcing strict blacklisting rules can be paramount in avoiding this type of attack.

ICMP – Conclusion

All things considered, although ICMP isn’t used to exchange information between connected devices on a given network as TCP and UDP do, it still has a huge applicability range. In fact, ICMP is one of the most flexible fundamental protocols that help keep the Internet the way we know it.

بصرف النظر عن غرضه الأساسي المتمثل في السماح لنظام ما بمعرفة وجود اختناق في اتصاله بنظام آخر ، فإن ICMP هي العمود الفقري للعديد من أدوات استكشاف الأخطاء وإصلاحها مثل ping و pathping و traceroute. لسوء الحظ ، فإنه يساعد أيضًا الوكلاء الخبيثين على تقديم مجموعة واسعة من هجمات DoS وهجمات التسلل إلى الأجهزة الضعيفة.